今日のモバイルワークや教育環境において、Appleデバイスの重要な機能は、組織のデータやユーザのプライバシーを保護する内蔵暗号化技術です。
Mac用のフルディスク暗号化のためのAppleのネイティブソリューションであるFileVaultは、保存されたファイルを保護し、悪意のある人がデータにアクセスできないようにします。FileVaultは、ユーザがログオフ中にアカウントをロックし、認証に成功した際にロック解除するための方法として有効にすることができ、ユーザの認証情報を利用してMacアカウントのコンテンツを暗号化することができます。
FileVaultの有効化と管理には複数の方法があるため、どこから始めればよいかを理解し、新機能の最新情報を入手することが重要です。このブログでは、Jamf Proを使ってMacでFileVault暗号化を有効にする方法について説明します。
FileVault管理を学ぶべき理由
Jamf Pro、Jamf School、Jamf Nowなど、もしあなたが組織のAppleデバイスの管理を担当する場合、適切な導入ワークフローと導入方法を選択できるように、Appleネイティブの暗号化テクノロジーについて、そして望ましい結果を得るためにそれらをどのように活かせるかについて理解する必要があります。
包括的な概要については、Appleプラットフォーム導入の概要をご参照ください。FileVaultに特化した情報については「デバイスのセキュリティを確保する」のセクションをご覧ください。
FileVaultは、Center for Internet Security(CIS)のベンチマークで推奨されているように、macOSのセキュリティチェックリストで欠かせない要素です。このチェックリストについての詳細は、ホワイトペーパー をお読みください。
Jamf ProでFileVaultを有効にすると、環境内のMacはブートプロセスを完了するためにユーザの認証情報を必要とします。そこでJamfを使用して、構成プロファイル、ディスク暗号化構成、ポリシーのいずれかを使用して、管理対象コンピュータでFileVaultを有効化できます。
macOS暗号化ビルディングブロック
macOSの暗号化とFileVault管理を理解する上で欠かせないテクノロジーには、以下のようなものがあります:
- セキュアトークン - アカウント作成時に生成される暗号化鍵で、ユーザのパスワードで保護されたラッピングされたバージョン。FileVaultに対応するために必要。
- ブートストラップトークン- セキュアトークンユーザの生成またはサインイン時に、追加のトークンが MDMにエスクローされる。macOS 10.15で導入。
- ボリューム所有権 - Appleシリコン搭載コンピュータ専用。ユーザがセキュアエンクレーブに保存されているオーナーアイデンティティキーにアクセスできるようにする。ソフトウェアのアップデートやレガシー外部拡張の管理などの機能に必要。
FileVaultの導入
Appleプラットフォーム導入の概要には具体的なシナリオが記載されており、自分の組織に適した導入ワークフローを選択できるようになっています。
ユーザが自分でMacを設定する場合
- ゼロタッチ導入は、FileVaultを有効にする最も簡単な方法です。
Macが組織によってプロビジョニングされる場合
- IT管理者が新しいコンピュータを設定する場合、トークンを最初に取得するのはユーザではなく管理者になります。この場合、導入がトークンのステータスにどのような影響を与えるかを考慮する必要があります。
- また、ユーザが生成される前にJamfポリシーが実行されると、意図しないユーザが最初のトークンを取得してしまうというシナリオもあります。
ベストプラクティスは、導入ワークフローの目標と成果を評価し、FileVault を管理する際に誰がトークンを取得するのかを理解した上で、イネーブルメント方法を変更または修正する必要があるかどうかを判断することです。
こうした慣習の確立は、導入の前段階でする方が、後になってから修正するよりも簡単です。
FileVaultを有効にする
FileVaultの有効化方法の選択
FileVaultの管理には、主に3つの有効化方法があります。複数の方法を使うこともできますが、1つの方法に絞った方が良いでしょう。
- 構成プロファイル- 分かりやすく、ターゲットに普遍的に適用されます。この方法を使えば、設定はすぐにインストールされます。
- Jamf Pro ポリシー- カスタマイズされたユーザエクスペリエンスとメッセージングを可能にします。この方法では、ポリシーの実行構成時に設定がインストールされます。
- Jamf Connect Login- 導入された新しいマシンだけに使用します。
有効化の方法は、自分に合ったものを選択してください。構成プロファイルを使用するにしても、ポリシーを設定するにしても、最も重要なことは選択した有効化方法が暗号化権限への管理者アクセスも可能にしているか確認することです。
macOS 14.0以降を実行している場合、管理者は設定アシスタントのユーザアカウント作成時にFileVaultを自動的に有効にすることができます。この場合、構成プロファイルがPreStage登録の一部としてインストールされている必要があります。エンドユーザがコンピュータにデータを追加する前にFileVaultが“オン”になり、デバイスのセキュリティポスチャをさらに高めることができます。要するに、情報セキュリティとコンプライアンスチームは、エンドユーザがコンピュータに触れる前に、ディスク暗号化が有効になっていることを確認することができます。
FileVaultの管理とレポーティング
FileVaultの有効化に成功したかどうかを知ること、またはデバイスを有効化するために誰をターゲットにすべきかを知ることは、コンプライアンスとレポーティングのためにも、そして修復の目的においても重要です。
個々のコンピュータの記録を見れば、以下のような豊富なインベントリデータを見ることができます:
- 暗号化状態
- リカバリーキーの有効性
- リカバリーキーの閲覧(一定レベルのアクセシビリティが必要)
- ディスク暗号化構成(ポリシーで有効になっている場合)
内蔵インベントリフィールドだけでなく、IT管理者はカスタム属性を追加したり、macOSのfdesetupバイナリを使用して導入ワークフローを深く掘り下げることも可能です。
リカバリーキーの管理
デバイスのセキュリティを継続的に管理するためには、リカバリキーの管理方法を検討することが重要です。
例えば、コンピュータからロックアウトされたユーザは、パスワードをリセットする必要があります。
パーソナルリカバリーキー(PRK)は有効ですが、ベストプラクティスはセキュリティのために使用後ローテーションすることです。ローテーションし、新しいリカバリーキーを発行するよう、FileVault内でポリシーを設定することが可能です
管理者にとって、FileVaultパーソナルリカバリーキーをエクスポート(バックアップ)できることは、非常に強力な機能です。Jamf Pro 10.43から、FileVault 2 Personal Recovery Key Attributeが導入され、管理者は環境内の管理対象コンピュータのすべてのパーソナルリカバリーキーを識別し、エクスポートできるようになりました。これによりシステム障害に備えて鍵のバックアップを作成することができます。
ほとんどのFileVaultアクションと同様に、セットアップの最初の決定が最も重要です。用途を決めてワークフローを有効にすれば、MDMの自動化があなたの代わりに仕事をこなしてくれます。
Jamf Proを導入し、効率的にAppleデバイスを管理しましょう。
Jamfブログの購読
市場トレンドやAppleの最新情報、Jamfのニュースなどをお届けします。
当社がお客様の情報をどのように収集、利用、移転、および保存するかに関しては、プライバシーポリシーをご参照ください。